[datensicherheit.de, 09.10.2025] Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder und hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. „Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.“ Die DSK stellt sich ebenfalls gegen die Pläne der dänischen EU-Ratspräsidentschaft für eine Chat-Kontrolle und fordert die Bundesregierung auf, bei ihrem Nein zur anlasslosen Massenüberwachung der Bürger zu bleiben.

© Annette Koroll

Meike Kamp: Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig!

Massenüberwachung privater Chats sowie flächendeckendes Scannen privater Nachrichten

Die dänische Regierung habe als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chat-Kontrolle auf die Tagesordnung des EU-Rats am 14. Oktober 2025 gesetzt.

• Im Entwurf dieser Verordnung seien jetzt wieder verpflichtende Möglichkeiten zur Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie die Möglichkeit des flächendeckenden Scannens von privaten Nachrichten auf den Endgeräten der Nutzer eingefügt worden.

Mit diesem „Client-Side-Scanning“ könne die Ende-zu-Ende-Verschlüsselung umgangen werden, da Nachrichten bereits vor dem verschlüsselten Versand durchsucht werden könnten.

Bundesregierung soll Verordnungsentwurf zur Chat-Kontrolle in vorliegender Fassung ablehnen

Die diesjährige Vorsitzende der DSK, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, fordert im Namen der gesamten DSK die Bundesregierung auf, weiter für sichere und vertrauenswürdige Kommunikation einzutreten und den Verordnungsentwurf zur Chat-Kontrolle in dieser Fassung abzulehnen, da weiter rechtsstaatliche Grenzen überschritten würden.

• Kamp unterstreicht: „Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig. Die vorgeschlagene Chat-Kontrolle gefährdet die sichere Kommunikation in unserer offenen Gesellschaft!“

Eine Untergrabung der Ende-zu-Ende-Verschlüsselung durch „Client-Side-Scanning“ und damit die Überwachung direkt auf den Endgeräten aller Personen wäre das „Ende der Privatsphäre, wie wir sie kennen“.

In der technischen Umsetzung bedeutet Chat-Kontrolle eine „Hintertür“

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, fügt hinzu: „In der technischen Umsetzung bedeutet die Chat-Kontrolle eine ,Hintertür’, die den Weg in die Überwachung sämtlicher Inhalte eröffnet. Das Missbrauchspotenzial ist enorm!“

• Hansen ist entschieden der Überzeugung, dass die Sicherheit unserer Kommunikation und der technischen Infrastruktur gestärkt werden müsse – und eben keinesfalls geschwächt.

Die DSK sei sich im Klaren darüber, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Kindesmissbrauch benötigten. Auch die DSK unterstütze diese Zielsetzung. Dieses Ziel dürfe jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben hätten. „Hintertüren“ in der Verschlüsselung gefährdeten die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Weitere Informationen zum Thema:

DSK DATENSCHUTZONFERENZ
Herzlich willkommen auf dem offiziellen Webauftritt der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. 

DSK DATENSCHUTZONFERENZ
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 17. Oktober 2023 / Geplante Chatkontrolle führt zu einer unverhältnismäßigen, anlasslosen Massenüberwachung!

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang

datensicherheit.de, 08.10.2025
Vereint gegen die Chat-Kontrolle: Offener Brief der europäischen Tech-Branche / Die Chat-Kontrolle würde den Datenschutz zerstören, die Verschlüsselung schwächen und die Wettbewerbsfähigkeit europäischer Unternehmen erheblich beeinträchtigen

datensicherheit.de, 07.10.2025
Chat-Kontrolle in der EU: DAV-Warnung vor dem Ende vertraulicher Kommunikation / DAV-Appell an die Bundesregierung, auf EU-Ebene standhaft zu bleiben

datensicherheit.de, 05.10.2025
Chat-Kontrolle droht: Privatsphäre im Internet für Peer Heinlein nicht verhandelbar / Während Befürworter wie Dänemark, Frankreich und Spanien Druck machen, warnt die Wirtschaft vor einer Chat-Kontrolle im Internet

datensicherheit.de, 22.08.2025
Chat-Kontrolle zum Scheitern verurteilt – doch Schlimmeres droht / Benjamin Schilz geht kritisch auf aktuelle Überwachungspläne ein: Er umreißt, welche Folgen tatsächlich drohen, und führt aus, wieso die Chat-Kontrolle den versprochenen Nutzen nicht bringen wird

datensicherheit.de, 21.06.2024
Chat-Kontrolle: Bitkom unterstützt Schutz der Kinder und Wahrung der Bürgerrechte / Mit der Chat-Kontrolle beabsichtigt die EU-Kommission, dass Web-Plattform-Anbieter ihre Dienste umfassend durchsuchen, um Darstellungen sexueller Gewalt gegen Kinder zu finden

[datensicherheit.de, 23.06.2025] Das Unabhängige Landeszentrum für Datenschutz (ULD) als Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang, Dr. h.c. Marit Hansen, überwacht die Einhaltung des Datenschutzrechts bei schleswig-holsteinischen Behörden und nichtöffentlichen Stellen mit Sitz in Schleswig-Holstein. Bei Verstößen kann sie Maßnahmen zu deren Beseitigung ergreifen sowie gegenüber nichtöffentlichen Stellen Bußgelder verhängen. Bürger können sich mit Beschwerden an das ULD wenden, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen den Datenschutz verstößt und sie dadurch in ihren Rechten verletzt sind. Die Landesbeauftragte für Datenschutz und das ULD wirken mit beim „Tag der offenen Tür“ im Schleswig-Holsteinischen Landtag am 13. Juli 2025.

Foto: Markus Hansen, ULD

Dr. h.c. Marit Hansen stellt sich dem Gespräch am „Tag der offenen Tür 2025“

ULD beim „Tag der offenen Tür 2025“ mit Informationsstand vertreten

Das ULD wird beim „Tag der offenen Tür“ im Schleswig-Holsteinischen Landtag am Sonntag, dem 13. Juli 2025, mit einem Informationsstand vertreten sein. Bei dieser Veranstaltung im Zeitraum 10.00 bis 18.00 Uhr gibt es demnach die Möglichkeit, mit der Landesbeauftragten für Datenschutz und weiteren Datenschutzexperten der Dienststelle ins Gespräch zu kommen:

Das Spektrum der Themen reicht laut ULD u.a. von der Video-Überwachung, über die Datenverarbeitung im Gesundheitsbereich, Künstliche Intelligenz (KI), das Informationszugangsgesetz (IZG SH) bis hin zur Medienkompetenz für Kinder und Jugendliche. „Wir halten eine Vielzahl von Informationen und Broschüren für Sie vor Ort bereit.“

Marit Hansen erwartet Besucher am ULD-Informationsstand:

„Tag der offenen Tür“
Sonntag, 13. Juli 2025, 10.00 bis 18.00 Uhr
Schleswig-Holsteinischer Landtag
Landeshaus
Düsternbrooker Weg 70
24105 Kiel

Der ULD-Informationsstand befindet sich im 1. Stock auf der Wasserseite im „Schleswig-Holstein-Saal“. Dort steht Marit Hansen zu folgenden Zeiten für Gespräche zur Verfügung (ohne Gewähr):

• 11.00 – 11.20 Uhr
• 12.00 – 12.20 Uhr
• 13.00 – 13.20 Uhr
• 14.00 – 14.20 Uhr
• 15.00 – 15.20 Uhr

Weitere Informationen zum Thema:

SCHLESWIG-HOLSTEINISCHER LANDTAG
Tag der offenen Tür

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang

datensicherheit.de, 23.02.2022
Aktueller ULD-Datenschutzbericht: Viel zu wenig aus Fehlern und Pannen gelernt! / Landesbeauftragte für Datenschutz Schleswig-Holstein hat Tätigkeitsbericht für 2021 vorgelegt

datensicherheit.de, 29.04.2020
ULD: Leitfaden zu Videokonferenzen und Datenschutz / Empfohlende Regeln und Maßnahmen zur Einhaltung der Anforderungen

datensicherheit.de, 09.08.2019
ULD: Beim Datenschutz ist Vorsorge besser als Nachsorge / Auch ohne Abmahnwelle sollte DSGVO ernstgenommen werden

datensicherheit.de, 27.03.2017
Neues ULD-Faltblatt: Datenschutz im Melderecht / Informationen zu den Fragen „Welche Daten von Ihnen stehen im Melderegister? Und welchen Datenübermittlungen können Sie widersprechen?“

datensicherheit.de, 17.03.2016
Datenschutz-Folgenabschätzung wird zur Pflicht: ULD rät zu Vorsorge / White Paper des Forums Privatheit und selbstbestimmtes Leben in der Digitalen Welt erschienen

datensicherheit.de, 05.12.2014
Neuer ULD-Kriterienkatalog für Datenschutz-Gütesiegel Schleswig-Holstein / Ausgezeichnete Produkte werden bei öffentlichen Ausschreibungen in Schleswig-Holstein bevorzugt eingesetzt

[datensicherheit.de, 15.05.2024] Die Datenschutzkonferenz (DSK), d.h. die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ist nach eigenen Angaben am 14. und 15. Mai 2024 zur 107. Sitzung in Bremerhaven zusammengetreten. „In intensiven Diskussionen wurden zahlreiche Datenschutzfragen erörtert, beispielsweise zu den Themen Regelungslücken im Umgang mit Patientendaten bei Schließung von Krankenhäusern, Anforderungen an die Sekundärnutzung genetischer Daten sowie zur Weiterentwicklung des Standard-Datenschutzmodells.“ Ab dem 16. Mai 2024 ist demnach der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, der Vorsitzende der DSK.

Landesbeauftragte für Datenschutz Schleswig-Holstein übergab Staffelstab an Hessen

Eine Besonderheit habe diesmal darin bestanden, „dass diese Tagung in Bremerhaven logistisch von der Dienststelle der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen ausgerichtet wurde, doch der Vorsitz bis zum 15.05.2024 und damit auch die Konferenzleitung noch einmal von der DSK-Vorsitzenden des Jahres 2023, der Landesbeauftragten für Datenschutz Schleswig-Holstein, Dr. h.c. Marit Hansen, ausgeübt wurde“.

Am Ende der 107. Sitzung gehe der Vorsitz nun bis zum Jahresende 2024 an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, über.

Erfolge bei Umsetzung des Anspruchs auf einheitliche Anwendung des Datenschutzrechts

Dr. Hansen habe ihr verlängertes Vorsitzjahr mit positivem Ergebnis abgeschlossen: „Die Zusammenarbeit in der Datenschutzkonferenz hat sich bewährt, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen.“

Für die Zukunft hält sie allerdings eine Geschäftsstelle für nötig, um als organisatorisches Fundament zu dienen „Die Erwartungen, die von uns selbst, aber auch von anderen an die Datenschutzkonferenz gestellt werden, sind jedes Jahr gestiegen. Um dieser Situation gerecht zu werden, brauchen wir eine Geschäftsstelle. Ich verspreche mir davon eine verbesserte Vollzugssteuerung und Entbürokratisierung.“

Forderung zur Etablierung einer festen Geschäftsstelle für die Datenschutzkonferenz erneuert

Ein Beispiel für eine Vereinfachung, welche den Verantwortlichen helfen würde, sei der DSK-Vorschlag, dass die Geschäftsstelle mit einer einheitlichen technischen Plattform für alle 17 Aufsichtsbehörden der Länder und des Bundes Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO und Meldungen von Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO entgegennehmen könnte.

Drei bei diesem Treffen beschlossene Dokumente sollen in Kürze auf der DSK-Website bereitgestellt werden:

• Entschließung „Besserer Schutz von Patientendaten bei Schließung von Krankenhäusern“
• Positionspapier „Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken“
• Das Standard-Datenschutzmodell in der Version 3.1

Weitere Informationen zum Thema:

DSK
DATENSCHUTZKONFERENZ

datenschutz.hessen.de
Der HBDI / Prof. Dr. Alexander Roßnagel

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

[datensicherheit.de, 24.11.2023] Laut einer aktuellen Meldung der Landesbeauftragten für Datenschutz Schleswig-Holstein (ULD-SH), hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) unter ihrer Leitung auf ihrer Tagung am 22. und 23. November 2023 intensiv zu aktuellen datenschutzpolitischen Themen ausgetauscht. Dr. h.c. Marit Hansen: „Neben Diskussionen u. a. zu Künstlicher Intelligenz, den wichtigen Aktivitäten auf europäischer Ebene sowie den nächsten Schritten für eine Institutionalisierung der Datenschutzkonferenz stand die Gewährleistung eines hohen Datenschutzniveaus bei der medizinischen Forschung im Fokus der Tagung.“

Datenschutzgrundrechte wahren und schützen

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Dies soll namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen erreicht werden.

Hohes Datenschutzniveau als Basis eines wirksamen Grundrechtsschutzes

Zu den erörterten Themen hat die DSK zwei Entschließungen verabschiedet:

• Datenschutz in der Forschung durch einheitliche Maßstäbe stärken
• Rahmenbedingungen für die gesetzliche Regulierung medizinischer Register

Dr. Hansen zeigt sich zufrieden mit den Ergebnissen des DSK-Treffens: „Wir haben wichtige Anforderungen formuliert, die bei der Forschung mit Gesundheitsdaten beachtet werden müssen. Einheitliche Maßstäbe und standardisierte Verfahren helfen enorm, um ein hohes Datenschutzniveau sicherzustellen. So kann ein wirksamer Grundrechtsschutz gelingen.“

2023 brachte zahlreiche Gesetzesvorhaben mit Auswirkungen auf den Datenschutz

Als aktuelle DSK-Vorsitzende zieht Dr. Hansen ein Fazit zum Konferenzjahr 2023: „Insgesamt war es ein ereignisreiches Jahr mit spannenden Diskussionen, das von zahlreichen Gesetzesvorhaben mit Auswirkungen auf den Datenschutz geprägt war.“

Auch die Technikentwicklungen im Bereich der Künstlichen Intelligenz (KI) haben die DSK demnach vor Herausforderungen gestellt. „Daher bin ich froh, dass wir in der Datenschutzkonferenz die verschiedenen Perspektiven zusammenbringen und im Jahr 2023 viele gemeinsame Stellungnahmen beschlossen haben, die für die Arbeit der Gesetzgeber relevant sind oder den Anwendern in der täglichen Praxis helfen“, so Dr. Hansen abschließend.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 23.11.2023
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. November 2023: Datenschutz in der Forschung durch einheitliche Maßstäbe stärken

DSK DATENSCHUTZKONFERENZ, 23.11.2023
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22./23. November 2023: Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register

[datensicherheit.de, 21.03.2023] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Nachruf auf den am 18. März 2023 verstorbenen Prof. Dr. Dr. h. c. mult. Spiros Simitis veröffentlicht. Dr. h. c. Marit Hansen, DSK-Vorsitzende 2023, spricht vom „Ende einer Ära“: Die DSK trauere um einen der „Begründer und Gestalter des Datenschutzes in Deutschland und Europa“.

Datenschutz verliert mit Simitis eloquenten Fürsprecher und feinsinnigen sowie klugen Verteidiger

Mit Professor Simitis verliere der Datenschutz einen eloquenten Fürsprecher und zugleich einen feinsinnigen und klugen Verteidiger, „der neugierig und versiert neue Entwicklungen aufgriff und konstruktiv weiterdachte“. Er war demnach „Grieche von Geburt, Europäer aus Überzeugung und Datenschützer aus Leidenschaft“.

In seiner Person habe er Wissenschaft und Praxis des Datenschutzes vereint. „Er war seit 1969 als Professor für Arbeitsrecht, Bürgerliches Recht und Rechtsinformatik in Frankfurt am Main insbesondere mit arbeitsrechtlicher Perspektive ein Vordenker des Datenschutzes und unterstützte bei der Erarbeitung des ersten Datenschutzgesetzes der Welt, des hessischen Datenschutzgesetzes von 1970. Von 1975 bis 1991 war er Hessischer Datenschutzbeauftragter und setzte sein Wissen und seine Überzeugungskraft für die Sicherstellung von Datenschutz in der Anwendung ein.“

Erheblicher Einfluss Simitis‘ auf Fundierung des Datenschutzes in Europa

Sein gewinnendes Auftreten habe ihn zu einem gefragten Gesprächspartner und Berater im In- und Ausland gemacht. Im Rahmen des Europarates sowie als Berater der EU-Kommission habe Professor Simitis erheblichen Einfluss auf die Fundierung des Datenschutzes in Europa genommen: „Er trug wesentlich dazu bei, die Grundlagen zu legen, auf denen das Datenschutzrecht bis heute und in Zukunft aufbaut.“

Er habe sich auch nach seiner Emeritierung weiter mit großem Geschick und intellektueller Brillanz für den Schutz des Rechts auf Informationelle Selbstbestimmung eingesetzt. In zahlreichen Publikationen und führenden Kommentierungen, aber auch in effektiver Politikberatung habe er stetig an der Fortentwicklung des Datenschutzrechts mitgewirkt. Mit ihm ende eine Ära des Neuaufbaus des Datenschutzrechts mit dem Schaffen von Grundlagen; spätestens seit Geltung der Datenschutz-Grundverordnung sei der Datenschutz im Kern jeglicher Digitalisierung und in der Mitte der Gesellschaft angekommen.

Datenschutzkonferenz sieht sich Simitis‘ Vermächtnis verpflichtet

Zum Vermächtnis von Professor Simitis gehöre es, unter den Bedingungen sich dynamisch entwickelnder Informations- und Kommunikationstechnologien die Freiheit der Einzelnen durch Recht zu sichern. Die Datenschutzkonferenz sehe sich diesem Vermächtnis verpflichtet.

Dr. Hansen abschließend: „Im Geiste von Spiros Simitis wird sie die Rechte und Freiheiten und insbesondere die Informationelle Selbstbestimmung der Bürgerinnen und Bürger schützen, verteidigen und weiterentwickeln. Wir werden Spiros Simitis vermissen.“

Weitere Informationen zum Thema:

WIKIPEDIA
Spiros Simitis

HESSISCHER LANDTAG, 18.03.2023
Trauer um Prof. Simitis / „Vater des Datenschutzes verstorben“

[datensicherheit.de, 23.02.2022] Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2021 vorgelegt. Dieser greift demnach zahlreiche Themen des Datenschutzes und der Informationsfreiheit auf, mit denen sich das Unabhängige Landeszentrum für Datenschutz (ULD) 2021 beschäftigt hatte. Wiederkehrende Probleme seien der Missbrauch vorhandener Daten, Rechtsverstöße aus Unachtsamkeit und viele Datenpannen.

Foto: ULD Schleswig-Holstein

Marit Hansen: Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund…

Anfragen und Beschwerden zu einer breiten Palette von Themen, alle möglichen Formen der Verarbeitung von Daten betreffend

Wie schon 2020 sei ihre Tätigkeit im Jahr 2021 von der „Pandemie“ geprägt gewesen: „,Corona‘ und Datenschutz, ,Corona‘ und Informationsfreiheit – aber wir bekamen auch wieder Anfragen und Beschwerden zu einer breiten Palette von Themen, die alle möglichen Formen der Verarbeitung von Daten betrafen.“ Das ULD habe 1.464 Beschwerden zu mutmaßlichen Datenschutzverstößen erhalten, weitere 712 Beratungsanfragen seien bearbeitet worden.

Dies entspreche etwa den Zahlen des Jahres 2020. Eine Zunahme um 50 Prozent sei im Bereich der Informationsfreiheit zu verzeichnen gewesen, in dem das ULD in 78 Fällen eingeschaltet worden sei – „und häufig erreichen konnte, dass mehr Informationen herausgeben wurden“.

Hansen sieht dies als Ansporn zur Verbesserung der Situation im Land, denn: „Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund. Die Nachvollziehbarkeit des Behördenhandelns hat aber gerade in ,Pandemie‘-Zeiten an Wichtigkeit gewonnen.“

Im Vergleich zu 2020 stieg 2021 Zahl der Datenpannen-Meldungen um etwa 60 Prozent

In einem anderen Bereich sehe man ebenfalls einen auffälligen Zuwachs, so Hansen: „Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa 60 Prozent. Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind.“

Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten – kurz: „Datenpannen“ – sei eine rechtliche Anforderung und müsse von den Verantwortlichen umgesetzt werden. Ihre Dienststelle werbe aber auch dafür, diese Pflicht als Chance zu begreifen, damit alle Beteiligten aus den Fehlern lernen könnten. Denn: „Hinterher ist man immer schlauer“ gelte ja nur dann, wenn die Verantwortlichen feststellen könnten, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, „damit sich die Datenschutzverletzungen nicht wiederholen“.

Im vorliegenden Tätigkeitsbericht fänden sich viele Beispiele für Datenpannen. Hansen kommentiert: „Unser Bericht dient auch dazu, dass alle aus Fehlern lernen können, die passiert sind. Diese Beispiele können dabei helfen, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten in der eigenen Firma oder Behörde verbunden ist, und geeignete Gegenmaßnahmen zu treffen.“

Sich immer wieder verändernde Corona-Regelungen haben zur Verunsicherung bei der Datenverarbeitung geführt

Das Titelbild des Tätigkeitsberichts zeige dieses Jahr ein Labyrinth, dessen Wände mit schwarz-weißen QR-Codes gepflastert seien – „ein Sinnbild für die Komplexität unseres Lebens mit oft nur schwer durchschaubaren Regeln, in dem sich viele nur mit Mühe zurechtfinden“. Ebenso komplex sei die Technikwelt mit dem sich dynamisch ändernden Zusammenspiel diverser Hard- und Softwarekomponenten. Technik könne helfen, Technik bringe aber auch neue Risiken mit sich.

Selbst das simple Beispiel der QR-Codes verdeutliche das Problem des Verstehens, denn Menschen könnten nicht direkt ersehen, welche Daten darin enthalten sind, sondern müssten das Muster erst per Smartphone scannen. „Und: Wer bei einer Einlasskontrolle einen solchen QR-Code etwa als Impfnachweis vorzeigt, weiß nicht, ob dieser beim Scannen lediglich gelesen und die Gültigkeit geprüft wird oder ob der Code kopiert und die ausgelesenen Informationen gespeichert werden.“

Auch die sich immer wieder verändernden „Corona“-Regelungen haben im „Pandemie“-Jahr 2021 zu einer Verunsicherung bei der Datenverarbeitung geführt: „Wie muss mit Kontaktdaten umgegangen werden? Was ist aus Datenschutzsicht bei der Prüfung von Impf-, Genesen- und Testnachweisen zu beachten?“ Beim ULD seien viele Beschwerden eingegangen, „wenn Verantwortliche personenbezogene Daten beispielsweise von Gästen oder Beschäftigten verlangten, die gar nicht erforderlich waren, oder wenn das Risiko bestand, dass unbefugt auf sensible Daten zugegriffen werden konnte“.

Einige der Datenpannen betrafen -verarbeitung rund um das Impfen oder Testen

Einige der eingetretenen Datenpannen hätten sich auf Verarbeitungen rund um das Impfen oder Testen bezogen, andere mit dem Arbeiten im Home-Office zusammengehangen, „z.B. die Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen“. Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehörten zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen habe sich aber aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden ergeben, bei denen personenbezogene Daten betroffen gewesen seien.

Hansen unterstreicht: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware wie ‚Pegasus‘, die in vielen Ländern zum Einsatz kommt.“

Sie sieht darin einen Verstoß gegen das Grundrecht auf Gewährleistung der Vertraulichkeit sowie Integrität informationstechnischer Systeme – und fordert daher: „Datenschutz und Sicherheit müssen eine Selbstverständlichkeit bei jeder Verarbeitung personenbezogener Daten sein.“

Verantwortliche müssen eigene Prozesse datenschutzgerecht gestalten!

Für die Verantwortlichen bedeute dies, „dass ihre eigenen Prozesse datenschutzgerecht zu gestalten sind“. Bei der Auswahl von Produkten und Dienstleistern müssten sie sorgfältig vorgehen und Datenschutzkonformität einfordern. Wichtige Ansprechpartner seien die Datenschutzbeauftragten im Unternehmen oder in der Behörde. Das bewusst missbräuchliche Verwenden von personenbezogenen Daten und das absichtliche Verstoßen gegen das Recht durch Verantwortliche und deren Dienstleister würden in der täglichen Arbeit des ULD, dessen Zuständigkeitsbereich auf Schleswig-Holstein beschränkt sei, vergleichsweise selten festgestellt.

Sehr viel häufiger seien solche Fälle, in den die Verantwortlichen unachtsam gewesen seien oder die Datenschutzanforderungen grob fahrlässig ignoriert hätten. Zu den am meisten nachgefragten Bereichen gehört die Videoüberwachung (179 Beschwerden, 36 Beratungsanfragen). Auch Datenschutz-Fehler bei der Website-Gestaltung – etwa durch ein unzulässiges Einbinden problematischer Tracking-Technik – seien mittlerweile stärker in den Fokus gelangt, beispielsweise im Rahmen der länderübergreifenden Branchenprüfung im Bereich Medien.

Die rechtlichen Anforderungen und Hinweise zur korrekten Umsetzung ließen sich den Orientierungshilfen, Leitlinien und Informationsbroschüren entnehmen, „die auf den Webseiten der Aufsichtsbehörden abrufbar sind und regelmäßig aktualisiert werden, wenn sich Gesetze ändern (im Jahr 2021 mit der Einführung des Telekommunikations-Telemedien-Datenschutzgesetz) oder gerichtliche Entscheidungen zu den Sachverhalten rechtskräftig werden“.

Wissensvermittlung und Sensibilisierung zum Datenschutz und zur Informationsfreiheit

Ein weiterer wichtiger Bereich des ULD im Jahr 2022 sei die Wissensvermittlung und Sensibilisierung zu den Themen Datenschutz und Informationsfreiheit über die Datenschutzakademie in Kursen, für Schulklassen und in Präsenzveranstaltungen wie der „Sommerakademie“. Nach dem der „Pandemie“ geschuldeten Aussetzen in den letzten beiden Jahren solle diese Konferenz nun am 12. September 2022 unter dem Thema „Informationsfreiheit by Design – und der Datenschutz?!“ stattfinden.

Das diesjährige Thema sei passend dazu gewählt, dass die Landesbeauftragte für Datenschutz für das Jahr 2022 den jährlich wechselndem Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen habe. Schleswig-Holstein leiste mit seinem Informationszugangsgesetz, dem Transparenzportal und den Open-Data-Initiativen einen bedeutenden Beitrag für eine bessere Nachvollziehbarkeit des Verwaltungshandelns und für Transparenz. Die häufigsten Fragen aus der Praxis beantworte das ULD in einer neuen Informationsbroschüre.

Hansen freue sich auf den kommenden Austausch mit Bund und Ländern sowie mit weiteren Initiativen und Akteuren. „Am besten werden Technik und Prozesse von Anfang an so gestaltet, dass sowohl Datenschutz- als auch Informationsfreiheitsanforderungen berücksichtigt werden“, betont die als Landesbeauftragte für beide Bereiche Zuständige. „Das Ziel sind praxistaugliche Umsetzungen, um die Wahrnehmung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen, zu erleichtern. Klar: mit Datenschutz!“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Tätigkeitsbericht 2022 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein / Berichtszeitraum: 2021

[datensicherheit.de, 30.07.2021] Wau Holland, Mitgründer des Chaos Computer Clubs und Wegbegleiter des Datenschutzes, verstarb vor 20 Jahren. Nun soll sein Wirken in Filmdokumenten gewürdigt werden: So hatte am 29. Juli 2021, seinem 20. Todestag, die Dokumentation „Alles ist eins. Außer der 0.“ Premiere, meldet die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

Film begleitet Holland ab den frühen 1980er-Jahren bis zu seinem Tod

Dieser Film begleitet Holland demnach ab den frühen 1980er-Jahren bis zu seinem Tod. Seine Lebensgeschichte werde verbunden mit dem Chaos Computer Club (CCC), der deutschen Netzpolitik und der rasanten Entwicklung der Digitaltechnik. Den Bogen zur heutigen Zeit spanne der Film mit Darstellungen zu den Enthüllungen von Edward Snowden und Chelsea Manning, zu „Wikileaks“ und Julian Assange sowie zu heutigen biometrischen Überwachungsmöglichkeiten.
„Der Journalist Wau Holland – eigentlich Herwart Holland-Moritz – gehörte zu den Gründern des CCC. Die bis heute gültige Forderung des CCC ,Öffentliche Daten nützen, private Daten schützen‘ verdeutlicht die Wichtigkeit von Informationsfreiheit auf der einen Seite und Datenschutz auf der anderen Seite“, so das ULD.

Marit Hansen erinnert sich noch gut an ihre Begegnungen mit Holland

Film-Patin Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, erinnert sich nach eigenen Angaben noch gut an ihre Begegnungen mit Holland. Sie habe ihn in den 1990er-Jahren bei Veranstaltungen wie dem „Chaos Computer Congress“ in Hamburg, den „Kieler Netztagen“ oder der „Datenschutz-Sommerakademie“ ihrer Dienststelle erlebt:
„Ob als geladener Gast in einer Podiumsdiskussion oder im privaten Kreis – Wau hatte immer etwas zu sagen, das einen zum Weiterdenken brachte: Komplexe Systeme lassen sich schwer – oder gar nicht – beherrschen. Aus Daten mit lächerlich geringem Informationsgehalt kann man ein detailliertes Bild über eine Person konstruieren. Dieses Bild muss aber gar nicht stimmen. Mit Auslassung von Informationen kann man manipulieren“, so Hansen.

Holland sah das Jahr 1995 als Wendepunkt an

Berührungsängste mit den „Hackern“ oder „Komputerfrieks“ hätten die schleswig-holsteinischen Datenschützer nicht gehabt. Hansen berichtet: „Bei unserer ,Sommerakademie 1998‘ zum Thema ‚Der neue Datenschutz‘ in Kiel machte Wau Holland das Jahr 1995 als Wendepunkt aus. Seitdem wurden die Beiträge der Nutzenden ziemlich vollständig gespeichert und in durchsuchbaren Archiven – damals: ,DejaNews‘ – gesammelt. Die Masse der Informationen wurde größer. Die schnelleren Computer ermöglichten Analysen zu beliebigen Zwecken. Die Nachvollziehbarkeit der Datensammlungen und -auswertungen stand in Frage.“ Menschen wie Holland hätten damals schon die Effekte von „Big Data“ und Künstlicher Intelligenz erahnt, welche wir heute immer mehr erlebten.
Holland sei nicht nur Visionär, sondern hatte auch Vorreiter im Bereich Medienkompetenz gewesen. In einem Interview aus dem Jahr 1999 habe er berichtet, dass in England die Kinder seit 1984 bereits ab der ersten Klasse Computer-Unterricht hätten, während in Deutschland Informatik im Schul- und Bildungsbereich viel zu wenig vorkomme. Hansen führt aus: „Wer Wau zuhörte, wusste, dass es ihm nicht nur um die Benutzung der Technik ging, sondern um das Verständnis für das gesamte technische System und die gesellschaftlichen Implikationen. Jetzt, mehr als zwei Jahrzehnte später, ist dies erfreulicherweise keine revolutionäre Forderung mehr, aber in der Umsetzung hapert es immer noch.“

Dokumentation über Holland kein bequemer Film

Der Film „Alles ist eins. Außer der 0.“ mache diese Herausforderungen erfahrbar anhand von vielfältigen Einspielern und Zeitdokumenten. „Es ist wichtig, in der Geschichte zurückzuschauen, um einiges besser zu verstehen und daraus zu lernen. Doch es ist kein bequemer Film, mit dem man sich berieseln lassen kann: In der heutigen Realität von Informationsfreiheit und Datenschutz sind die Probleme nach wie vor sehr relevant und längst nicht gelöst“, führt Hansen aus.
Die aktuelle Entwicklung sei besorgniserregend, wie die Nachrichten über die Ausnutzung von Sicherheitslücken mit der Spionagesoftware „Pegasus“ auch in Europa, über die Kontrolle privater Chat-Nachrichten oder über politische Beschlüsse zu „Staatstrojanern“ oder zur Vorratsdatenspeicherung zeigten.

Weitere Informationen zum Thema:

datensicherheit.de, 06.07.2009
Vorratsdatenspeicherung: Klare Stellungnahme vom Chaos Computer Club

Neue Visionen
„Alles ist eins. Außer der 0.“

CCC Chaos Computer Club, 14.07.2021
Am 29. Juli kommt der CCC in die (Freiluft-)Kinos!

Neue Visionen Filmverleih auf YouTube, 02.11.2020
Kinotrailer „Alles ist Eins. Ausser der 0.“ – Kinostart 29. Juli 2021

WIKIPEDIA
Wau Holland

[datensicherheit.de, 28.08.2020] Die „Corona-Bekämpfungsverordnung Schleswig-Holstein“ verpflichte u.a. Gastronomen und Veranstalter zur Erfassung von Kontaktdaten ihrer Gäste. Diese Daten dürften aber nicht in falsche Hände gelangen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD-SH) hat nach eigenen Angaben immer wieder auf Probleme hingewiesen: „Sammlungen per Liste, herumfliegende Zettel, in Einzelfällen sogar Missbrauch der Daten.“ Aufgeworfen wird die Frage in einer aktuellen Stellungnahme, ob es mit technischen Lösungen besser gehen würde.

Foto: Markus Hansen, ULD-SH

Marit Hansen zeigt sich offen für Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte

Schon mehrfach Datenlecks bei Kontaktdaten-Servern vorgekommen

Für die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, ist dies nach ULD-SH-Angaben nicht selbstverständlich: „Bei den Kontaktformularen sehen die Gäste, wie damit umgegangen wird. Gastronomen und Veranstalter können aktiv dafür sorgen, dass die Papierdaten so gelagert werden, dass sie für Unbefugte nicht zugänglich sind. Beim täglichen Schreddern nach der Aufbewahrungsfrist von vier Wochen bleiben nur noch kleine Schnipsel über – die Daten sind dann weg.“
Bei technischen Angeboten müsse man sich dagegen in der Regel auf Dienstleister verlassen. Leider seien schon mehrfach Datenlecks der Kontaktdaten-Server solcher Angebote vorgekommen. Das betreffe dann nicht nur ein einzelnes Restaurant, „sondern oft sind in solchen Fällen sämtliche gespeicherte Daten abrufbar“. Aus diesen Daten gehe hervor, „wer wann wo gegessen hat – und wer zur selben Zeit ebenfalls vor Ort war“.

Kontaktnachverfolgung nur im Infektionsfall zulässig

Nach Hansens Überzeugung sollten nicht nur Berufsgruppen wie Anwälte oder Journalisten darauf achten, „dass ihre Gesprächspartnerinnen und -partner nicht in ,Corona‘-Kontaktdatenbanken landen, bei denen es zu unerwünschten Abrufen kommen kann“. Im Prinzip betreffe es uns alle: „Es geht keinen etwas an, wo und wann wir essen gehen oder an Veranstaltungen teilnehmen.“ Deswegen sei die sichere Verwahrung der Daten so wichtig, die eben nur während der „Pandemie“ und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden dürften.
Für Datenschutz und Datensicherheit von IT-Angeboten müsse der Betreiber ständig am Ball bleiben: „Pfusch geht nicht, Sorgfalt und Qualität sind stets mit Kosten verbunden.“ Die Landesbeauftragte für Datenschutz habe zwar Verständnis dafür, wenn man zur Vereinfachung technische Angebote wählen möchte, doch gebe sie zu bedenken: „Nicht jede Person hat ein Smartphone und kann ihre Daten per App oder Webbrowser melden. Das bedeutet für die Gastronomen und Veranstalter, dass ohnehin auch noch eine Lösung ohne Informationstechnik bereitgehalten werden muss.“

Marit Hansen offen für Entwicklung von Technik für datensparsame Erfassung der Kontaktdaten…

Offen zeigt sich Hansen demnach „für die Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte – zum Beispiel mit pseudonymen digitalen Erreichbarkeitsadressen, die jeweils nur einmal verwendet werden und nicht den Namen und die Postadresse enthalten“.
Dies würde einige Datensicherheitsprobleme lösen. Doch es sei noch „Zukunftsmusik“ und in dieser Form bisher nicht in den aktuellen „Corona“-Verordnungen zugelassen. Heutzutage benötigten die Gesundheitsämter für ihre Aufgabe der Kontaktnachverfolgung den Namen und die Adresse.

Die häufigsten Fragen an das ULD zu Kontaktdaten

Das ULD verweist hierzu auf § 4 Abs. 2 „Corona-Bekämpfungsverordnung Schleswig-Holstein“ mit Stand v. 24.08.2020).

• Welche Kontaktdaten werden zum jeweiligen Datum abgefragt? Name, Anschrift und, soweit vorhanden, Telefonnummer oder E-Mail-Adresse.
• Wie lange werden die Daten aufbewahrt? Vier Wochen. Danach müssen sie vernichtet werden, z.B. geschreddert.
• Dürfen die Daten anderweitig verwendet werden? Nein! Die Kontaktdaten dürfen nicht für andere Zwecke (z.B. Werbung) verwendet werden.
• Wann muss ein Gastronom oder Veranstalter die Daten herausgeben? Nur wenn das Gesundheitsamt (die zuständige Behörde) die Daten anfordert. Das kann geschehen, wenn es darum geht, Infektionswege nachzuvollziehen und Personen, die sich angesteckt haben könnten, zu informieren.
• Woran muss ein Veranstalter oder Betreiber noch denken? Vor allem an die Datensicherheit: Bei Aufbewahrung und Umgang mit den Daten muss gewährleistet sein, dass Unbefugte darauf nicht zugreifen können.
• Und wenn der Datenschutz nicht eingehalten wird? Dann kann man sich beschweren. Das ULD geht jeder Beschwerde nach.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 28.08.2020
Hinweise zur Erfassung von Kontaktdaten gemäß Corona-Bekämpfungsverordnung

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sonderinformationen zu Datenschutz in der Corona-Krise

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 20.11.2019] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Marit Hansen, geht in ihrer aktuellen Stellungnahme auf Fälle von Videoüberwachung im Fitness-Studio ein – das Verwaltungsgericht Schleswig hat demnach die Klage des Betreibers einer Fitness-Kette abgewiesen, bei dem Verstöße gegen das Datenschutzrecht festgestellt wurden.

Abbildung: Screenshot ULD-Broschüre „5 Videoüberwachung“

ULD: Beispiel für vorgelagertes Hinweisschild n. Art. 13 DSGVO b. Videoüberwachung

4 in Schleswig-Holstein geprüfte Fitness-Studios verstießen gegen Datenschutzrecht

Immer wieder beschwerten sich Sporttreibende und Fitness-Fans bei der Landesbeauftragten für Datenschutz über Videokameras in Fitness-Studios. Vor einigen Jahren habe ihre Dienststelle, das ULD, vier Fitness-Studios in Schleswig-Holstein geprüft.
Für all diese vier habe das ULD festgestellt, dass die Videoüberwachung einiger Bereiche gegen das Datenschutzrecht verstießen, und habe daraufhin im Juni 2017 die Überwachung dieser Bereiche untersagt.

Videokameras in Umkleiden, auf Trainingsflächen und in Aufenthaltsbereichen zu entfernen

Gegen diese Anordnungen des ULD habe der Betreiber der Fitness-Kette Klage erhoben. In der Zwischenzeit seien die betreffenden Kameras weiterhin eingesetzt worden. Am 19. November 2019 habe nun das Verwaltungsgericht Schleswig die Fälle verhandelt und die Klagen abgewiesen.
Das bedeutet laut Hansen: „Sobald das Urteil rechtskräftig ist, muss der Betreiber die Vorgaben der Anordnungen umsetzen. Betroffen sind Videokameras in Umkleiden, auf Trainingsflächen und in Aufenthaltsbereichen.“

Beobachtung und Aufzeichnung durch Videokameras beeinträchtigt Privatsphäre

In ihrem Kommentar stellt Hansen klar, dass nicht jede Videokamera unzulässig sei, „aber in Umkleiden, in denen sich die Sportlerinnen und Sportler umziehen, haben sie überhaupt nichts zu suchen“. Das ULD-Prüfteam habe sich damals die Kameras genau angeschaut und bewertet.
Nach der jetzigen Bestätigung durch das Verwaltungsgericht erwartet Hansen „eine zügige Umsetzung der Datenschutzanforderungen“. Es gelte nämlich: Eine Beobachtung und Aufzeichnung durch Videokameras beeinträchtigt die Privatsphäre – „hier müssen Betreiber immer die schutzwürdigen Interessen der Menschen berücksichtigen“.

Weitere Informationen zum Thema:

ULD, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Praxis-Reihe Datenschutzbestimmungen praktisch umsetzen: „5 Videoüberwachung“

datensicherheit.de, 05.08.2019
Urlaub: Sommer, Sonne, Strand, Meer und Videoüberwachung / Kameras nehmen zuweilen zu viel Einblick und zeichnen manchmal selbst intimste Details auf

datensicherheit.de, 03.06.2019
Rechtsklarheit gefordert: Videoüberwachung im Öffentlichen Raum / Videoüberwachungsverbesserungsgesetz und resultierender § 4 Abs. 1 Satz 1 im aktuellen Bundesdatenschutzgesetz nichtig

datensicherheit.de, 21.06.2012
Freiheit statt Angst: Polizeiliche Videoüberwachung der Demonstrationen unzulässig / Verwaltungsgericht Berlin erkennt Anfertigung sogenannter „Übersichtsaufnahmen“ als rechtswidrig

datensicherheit.de, 31.03.2010
Videoüberwachung an Schulen unvereinbar mit Grundsätzen der Demokratie, Achtung der Menschenwürde und Freiheit / Berlins Beauftragter für Datenschutz und Informationsfreiheit bezieht Stellung zum Tätigkeitsbericht 2009